Od novembra budú musieť vybrané spoločnosti, ako aj verejné organizácie poskytujúce služby v oblasti IT infraštruktúry, absolvovať povinný audit kybernetickej bezpečnosti.

Zaväzuje ich k tomu zákon o kybernetickej bezpečnosti, ktorý u nás platí od apríla 2018. Cieľom je overiť, či používané bezpečnostné opatrenia firiem a inštitúcií sú dostatočne účinné alebo či ich musia upraviť a sprísniť.

Termín na splnenie si povinností sa líši v závislosti od dátumu registrácie spoločnosti do príslušného registra prevádzkovateľov základných služieb vedeného Národným bezpečnostným úradom. „Podľa zákona platí, že ak sú spoločnosti registrované po 9. novembri 2018, musí byť táto povinnosť splnená do dvoch rokov od dátumu registrácie. Ak je však firma zaregistrovaná pred 9. novembrom 2018, musí byť splnená do troch rokov od tohto dátumu, teda do 9. novembra budúceho roku,“ hovorí Dušan Vanek, právnik spoločnosti CMS Slovensko, ktorý sa venuje právnym aspektom kybernetickej bezpečnosti.

Audit môžu urobiť jednotlivci alebo firmy, ktoré majú certifikát vydaný akreditovanou osobou. Kontrolu používaných bezpečnostných opatrení urobí špecialista na základe žiadosti, ktorá obsahuje požiadavky dané zákonom. „Audítor následne stanoví dobu trvania auditu s cieľom dostatočne overiť, či sú prijaté bezpečnostné opatrenia účinné,“ dopĺňa Dušan Vanek.

Povinné pre firmy a inštitúcie z rôznych odvetví

Odhaduje sa, že túto povinnosť bude musieť splniť približne tisíc spoločností pôsobiacich na Slovensku. Auditu podliehajú firmy a inštitúcie, ktoré sú zaradené do príslušného registra prevádzkovateľov základných služieb Národného bezpečnostného úradu. Ide o spoločnosti, ktoré poskytujú služby uvedené v zozname základných služieb a spĺňajú aspoň jednu zo zákonných podmienok.

„Prvou podmienkou je, že ich služby sú závislé na informačných systémoch a firma pôsobí vo vybranom sektore. Druhou podmienkou je, že ide o informačný systém verejnej správy a treťou, že ide o kritický prvok infraštruktúry,“ hovorí Dušan Vanek. Ide najmä o subjekty verejnej správy, obce a spoločnosti v energetickom, plynárenskom, zdravotníckom, finančnom alebo telekomunikačnom sektore.

Spoločnosť je zaradená do príslušného registra prevádzkovateľov základných služieb Národného bezpečnostného úradu, ak splní najmenej jedno dopadové kritérium, napríklad hrozia jej potenciálne ekonomické straty alebo materiálne škody. Zároveň spĺňa aj sektorovo špecifické kritérium, napríklad počet klientov alebo dosahuje stanovený trhový podiel. Tieto kritéria sú uvedené v príslušnej vyhláške.

Kontrola a záverečná správa

Po splnení zákonných požiadaviek je vo firme alebo štátnej inštitúcii spustený audit. „Audítor skontroluje bezpečnosť sietí a informačných systémov ako firewall brány, či zabezpečenie softvérového systému. Rovnako sa preveria prijaté bezpečnostné opatrenia a zásady kybernetickej bezpečnosti a prístup do zariadení.“ hovorí Dušan Vanek.

Po skončení auditu vydá audítor záverečnú správu s výsledkami a dôkazmi použitými pri hodnotení. Prevádzkovatelia základných služieb musia predložiť výsledky a podať správu Národnému bezpečnostnému úradu do 30 dní od ukončenia auditu. Správa obsahuje aj všetky nápravné opatrenia, vrátane lehôt na ich zavedenie. Náklady na audit znáša prevádzkovateľ základnej služby.

NBÚ je oprávnený vydávať rozhodnutia týkajúce sa opatrení, ukladať sankcie za menšie alebo iné správne delikty a vykonávať aj vlastné audity. „Úrad môže za neabsolvovanie auditu alebo za neodstránenie chýb v IT systémoch uložiť pokuty od 300 eur do 1 % z celkového ročného obratu poskytovateľa služieb za predchádzajúci finančný rok, najviac však do výšky 300 000 eur,“ uzatvára Dušan Vanek.

Značky: